Christoffer Biongs blogg

Jeg har fått nok av tvilsomme firmaer som sprer personopplysninger om meg på nett. Foto: Jessica Diamond/Flickr

I dag har jeg sendt brev til Birthday.no. Nok en gang forsøker et firma å gjøre oss en tjeneste ved å legge ut fødselsdato og år til nærmest samtlige Nordmenn. Jeg lurer på hvor mange ganger dette skal få skje før vi kan få satt en stopper for denne typen unødvendige spredning av personopplysninger.  Her er brevet:

Til: Birthday.no v/ Berlock Information AB
Brynsveien 3 0667 Oslo

Den nye opplysningstjenesten “Birthday.no” har publisert fødselsdatoen til nærmest samtlige nordmenn. Jeg registrerer med undring at dette gjøres til tross for at liknende forsøk har blitt stanset flere ganger, etter påtrykk fra publikum og kritikk fra Datatilsynet, som har påpekt at det er uakseptabelt at nummeropplysningstjenester publiserer både fødselsdato og år.

Eniro publiserte fødselsdatoene på telefonkatalogen.no i juni 2009, og fjernet disse etter kun to uker. Iam.no prøvde på det samme like etter, og ble møtt med massiv kritikk av opinionen, og en protestaksjon på Facebook som fikk over 30 000 medlemmer. Man fikk en klar tilbakemelding om at dette var en type tjeneste som ikke er ønsket. I en avstemming på vg.no sa 72 % at de har noe i mot å få fødselsdatoen sin publisert på nett.

I Norge er det personopplysningsloven som regulerer adgangen til å behandle personopplysninger. Loven skal beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Den skal også bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.

Det følger av personopplysningslovens § 8 at personopplysninger bare kan behandles dersom den registrerte samtykker, det er fastsatt i lov eller ett av de øvrige vilkårene i bestemmelsen er oppfylt. Hverken jeg eller noen av de 4,5 millionene (?) nordmenn har samtykket til å få publisert fødselsdatoene våre på nett.

Ifølge personopplysningsloven skal “enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar.” Jeg krever derfor svar på følgende spørsmål:

Hvilket hjemmelsgrunnlag har dere for behandling av personopplysninger på det nevnte nettsted?
Hvilke kilder er benyttet for å innhente opplysningene som er publisert på nettstedet?
Hva gjør dere for å sikre at opplysningene som publiseres er korrekte, og hvilke rutiner har dere for at folk kan endre opplysninger?
Blir personopplysninger om meg utlevert til andre?
Er birthday.no en nummeropplysningsvirksomhet?

For de fleste av oss er det jo egentlig en bagatell at fødselsdatoene legges ut på nett. Det ville neppe hatt den store praktiske betydningen. Og det er kanskje uskyldig, isolert sett. Men når man ser på det store bildet, så er det mer skremmende; stadig mer informasjon oss ligger ute på nett, og vi har liten kontroll over den. Jeg mener at det er det må være opp til hver enkelt hva slags personlig informasjon vi ønsker å dele med andre på nettet. Det er stor forskjell på at man velger å legge ut fødselsdatoen, eller annen personlig informasjon selv, enn at det blir gjort at en tredepart.

Jeg ber derfor om at dere fjerner meg fra opplysningstjenesten “Birthday.no”. Tjenester som “Birthday.no” er overtramp mot personvernet, og det bør være ganske åpenbart at folk har fått nok av firmaer som skal tjene penger på unødvendig spredning av personopplysninger. Dessuten er spredning av fødselsdatoer med på å gjøre id-tyveri enklere. Vet man når noen er født, er det forholdsvis enkelt å finne personnummeret deres.

Jeg sto bak protestgruppene mot Iam.no og Eniro, og jeg er innstilt på å gjøre det samme også mot Birthday.no. Jeg forventer et seriøst svar på denne henvendelsen, og minner om at dere har plikt til å gi meg det (etter personopplysningslovens § 18). Eniros kommunikasjonsdirektør Bård Hammervold sa følgende i fjor etter at Eniro hadde fjernet fødselsdatoene:  - Jeg bekrefter at vi lytter til folkets dom, at de selv vil bestemme om fødselsdatoen selv. – Vi er ydmyke i forhold til det brukerne ønsker. Det håper jeg at dere også vil være.

Med vennlig hilsen
Christoffer Biong

Søketjenesten iam.no ble lansert i midten av september med slagordet “Iam viser deg all informasjon som finnes om deg (og alle andre) på nettet!”. Dette inkluderte fødselsdato, fødselsår og stjernetegn, og det førte umiddelbart til massiv oppmerksomhet i media, en masse henvendelser til firmaet og ledelsen og mange spørsmål til Datatilsynet.

Jeg startet Facebookgruppen “Stopp iam.no” som fikk 3000 medlemmer i løpet av to dager (nå har den 32 000). Jeg fikk svært mange henvendelse fra frustrerte folk som ønsket å få fjernet informasjonen på Iam.no. Det var mange som mente at Iam la ut hemmelige nummer, uriktig informasjon, informasjon om avdøde og informasjon om mindreårige.

Datatilsynet sendte et brev med rekke kritiske spørsmål om tjenesten der de blant annet spør om lovligheten, kildene som er benyttet, hvordan virksomheten sikrer at personopplysningene er korrekte og oppdaterte, hvordan de forhindrer at  skjulte telefonnummer og adresser publiseres og rutniner for korrigering av opplysninger.

Svarbrevet fra Iam har kommet, men de har krevd at dette skal unntas offentlighet. Det ligger en sensurert versjon av brevet på Datatilsynets sider. Der hevder de at de kun får informasjonen sin fra tre kilder; Easy Connect, Google og brukerne selv. Dette har trolig endret seg fra da siden ble lansert.

Iam har gjort noen forbedringer fra den opprinnelige versjonen. De har blant annet fjernet koblingen til skattelistene og fødselsåret. Det har blitt påpekt av Datatilsynet at det ikke er lov å legge ut både fødselsdato og år før da Finnfirma.no prøvde på det samme. Dette er positivt, men det er allikevel ikke nok.

Samtidig med at mange har kontaktet Iam.no, er det også mange som har kontaktet annonsørene til Iam.no for å informere dem om hva slags tjeneste de støtter. Det at så mange av annonsørene har trukket seg har ført til store vansker for Iam.no, og det er en egen Facebook-gruppe som heter “Boikott annonsørene til Iam.no“. Gruppen ble startet av Trømsøværingen Øyvind Lockertsen, og har jobbet aktivt for å bevisstgjøre annonsørene. Dette har tydeligvis satt sinnene i kok hos Iam.no, for Lockertsen har nå mottatt trusler om søksmål. Her er brevet fra advokatene til Iam.

Det er personopplysningsloven som skal beskytte ditt og mitt personvern. Det er godt mulig at Iam.no bryter denne på flere områder (§ 8 + § 28). Dersom de kun hadde drevet en nummeropplysningstjeneste hadde virksomheten vært legitim. Jeg tror ikke folk vil ha hjelp til å sammenstille og publisere såkalt “tilleggsinformasjon” som stjernetegn og fødselsdato. Det er egentlig dette debatten har dreid seg mye om.

Nummeropplysningstjenester bør kun ha lov til å legge ut informasjon som er relevant, dvs. navn, telefonnummer og addresse til personen. Tilleggsinformasjon som stjernetegn og fødselsdato bør kreve aktivt samtykke fra den det gjelder, også selv om dette finnes andre steder på nettet og det kun er snakk om en sammenstilling. Jeg vil sette foten ned for tjenester som iam.no, som sammenstiller og legger ut personopplysninger uten å hente inn samtykke først. Her må vi åpenbart vurdere å styrke lovverket.

Nå er det opp til Datatilsynet å avgjøre hva som skal skje med Iam.no videre. Datatilsynets rolle er ikke å være en slags moralens vokter, de skal se på de juridiske sidene ved dette. Det er åpenbart at de har hatt en vrien oppgave når det gjelder å vurdere lovligheten ved denne tjenesten, fordi det har dukket opp flere nye problemstillinger i forbindelse med denne saken. Det å videreformidle informasjon fra flere elementer gjør at man får en utfordring med å plassere det juridisk ansvaret. Dessuten omfattes nummeropplysning av Ekomforskriften. Spørsmålsstillingen blir da; hvem har ansvar for hva? Teleoperatøren har et ansvar. Men hvem har ansvaret for kvaliteten i nummeropplysningsdelen?

Datatilsynet har som mål å komme med svaret sitt i løpet av neste uke. Jeg håper de setter foten ned for tilleggsinformasjonen, og at svaret gir mer klarhet i forhold til lovgivningen. Kanskje Iam.no ser litt mer ut som parodi-siden iamnot.no etter neste uke? Håper det.

Se også artikkel på Hegnar.no (09.11.2009)- Venstrepolitiker vil ta ned skandalenettsted

Mine viktigste innvendinger mot Iam.no:

1. Personlig informasjon er personlig – del gjerne det du vil med andre, men det er ikke ok når en tredjepart begynner å publisere personopplysninger om deg uten ditt samtykke.

2. Man kan ikke reservere seg – Iam.no henter mye informasjonen sin fra teleselskapene gjennom Easy Connect. I dag må man inngå et kundeforhold med Iam.no for å “ta kontroll over opplysningene”. Det innebærer at man må samtykke til at denne informasjonen kan bli brukt til markedsføring. Alternativet er å få hemmelig nummer hos teleoperatøren (dette er en betalingstjeneste hos de fleste).

3. Tjenester som Iam.no gjør identitetstyveri enklere - Får man tak i fødselsdato og fødselsår på en person, er det lett å finne de siste 5 sifrene i personnummeret.

4. Iam.no sprer uriktige opplysninger – Svært mange har meldt om at det ligger feilaktig informasjon ute. Dette kan være svært uheldig. Hvis du har et svært vanlig navn er det nesten umulig for Iam å vite om du er den “Per Hansen” som er “verdensmester i mobiltelefonkasting” eller den som er “anmeldt for salg av brennevin til mindreårige”.

5. Iam.no kan sette personer i fare – Det finnes flere eksempler på informasjon som aldri burde ligget ute.